当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0116025

漏洞标题: 广西广电网络高清机顶盒漏洞之我的机顶盒你的业务系统

相关厂商:cncert国家互联网应急中心

漏洞作者: wefgod

提交时间:2015-05-25 12:39

修复时间:2015-07-14 01:12

公开时间:2015-07-14 01:12

漏洞类型:成功的入侵事件

危害等级:高

自评Rank:15

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-05-25: 细节已通知厂商并且等待厂商处理中
2015-05-30: 厂商已经确认,细节仅向厂商公开
2015-06-09: 细节向核心白帽子及相关领域专家公开
2015-06-19: 细节向普通白帽子公开
2015-06-29: 细节向实习白帽子公开
2015-07-14: 细节向公众公开

简要描述:

最后一发。仅仅是连了下机顶盒,虽然水平退化严重,但是还是发现一些问题。目前利用可以直接访问的网段拿下的服务器,已经可以利用它作为跳板跳转到各类内部业务系统去,内网基本可以被全面突破,可获取用户数据、可获取内部文件信息主机信息,甚至可以影响用户正常看电视,搞不好还可以……

详细说明:

我还是在没有开通广电的宽带的情况下做的

image044.png


为了了解一些基本的情况,先traceroute看看,了解一般需要经过哪些网段,相关的网段肯定就是相对比较重要的业务系统网段

image046.png


尝试访问关键IP的网段

mask 区域 
1.http://**.**.**/en/login.html


image047.png


按这样看,基本是80端口都没有太多限制(不敢说完全没有限制,至少大部分都没有限制)
而且上面这台H3C的交换机,23端口也没有限制:

image048.png


嘿嘿,再往前一点,看看其他IP

mask 区域 
1.http://**.**.**/


image049.png


各种信息,各种参数。
重启的话,会咋样?估计很多网段的机顶盒会掉线

image051.png


此类设备还有思科的

mask 区域 
1.http://**.**.**/


image053.png


同一个网段还有很多这种管理同轴电缆的设备,如果一个小程序全面重启的话,估计业务影响会很严重

mask 区域 
1.http://**.**.**/


image054.png


mask 区域 
1.http://**.**.**/


image055.png


image056.png


mask 区域 
1.http://**.**.**/_
2.http://**.**.**/


image058.png


同时,此类设备还可以访问其23端口

image060.png


这后面的一大帮子我就不截图了

image059.png


以上基本可以确定这一部分网段是关乎到用户机顶盒的重要网段。
再看看10.1.15之类的网段

image062.png


image063.png


一看就是机顶盒首页里面的那些小游戏……估计此网段或附近的网段很关键
监控系统

mask 区域 
1.http://**.**.**/log/cacti.log


image064.png


image065.png


还有目录遍历

image066.png


mask 区域 
1.http://**.**.**/manager/


image067.png

漏洞证明:

好吧,前面预热了那么多,开始正题吧

mask 区域 
1.http://**.**.**/jmx-console/


jboss,已shell

image068.png


image069.png


image070.png


Root权限,而且有两个网卡,虽然目前我们访问不到10.1.14.*,但是有这台跳转机,还怕到不了吗?

image071.png


mask 区域 
1.http://**.**.**/jmx-console/


第二台jboss,shell

image073.png


第二台跳转机!

image074.png


mask 区域 
1.http://**.**.**/Report/CMTS.aspx


IP地址存在注入,同时此处可以查出很多机顶盒的地址!包括机顶盒所属的地区

image075.png


image076.png


image077.png


由于是站库分离,数据库的地址如图:

image078.png


image079.png


image081.png


公安的调研

image082.png


内部系统ip

image083.png


数据库信息

image084.png


设备地址

image085.png


image086.png


OA数据库信息:

image088.png


image089.png


image090.png


用户行为监控的数据库(此IP就是traceroute最后必须经过的那一跳)

image091.png


设备密码

image092.png


10.1.15.55数据库

image093.png


image094.png


不错的学习资料

image095.png


远程桌面:

image096.png


image097.png


用户数据60万

image098.png


image099.png


甚至好像还有广西图书馆的系统在这?

mask 区域 
1.http://**.**.**/admin/Portal.aspx


admin/admin可惜进去报错了

image100.png


image101.png


image103.png


image104.png


mask 区域 
1.http://**.**.**/Template/


image105.png


image106.png


mask 区域 
1.http://**.**.**/


image107.png


其他网段如

mask 区域 
1.http://**.**.**/zh_CN/proc_list.html


admin/admin可登陆

image108.png


mask 区域 
1.http://**.**.**/


image109.png


时间关系,这网段就不深入了

image110.png


利用拿到的机器的权限,再简单深入一下子

mask 区域 
1.http://**.**.**/iPG/ManagerTree.do


image111.png


有jboss,可以继续深入,但是点到为止吧

image112.png


mask 区域 
1.http://**.**.**/jmx-console/


image113.png


image114.png


点到为止,不再深入。

修复方案:

加强内网管理,严格隔离网段。

版权声明:转载请注明来源 wefgod@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:18

确认时间:2015-05-30 01:11

厂商回复:

CNVD确认所述情况,已经转由CNCERT下发给广西分中心,由其后续协调网站管理单位处置。

最新状态:

暂无

漏洞评价:

评论

  1. 2015-05-25 12:42 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    不搞.net了么 好可惜

  2. 2015-05-25 12:43 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    @xsser 我都转行做打杂了方总。而且.NET比我擅长的,乌云大有人在哦。

  3. 2015-05-25 12:45 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @wefgod 扯淡

  4. 2015-05-25 12:56 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    @xsser 真的哦。我确实转行去负责打杂了

  5. 2015-05-25 12:58 | only_admin ( 路人 | Rank:11 漏洞数:5 | ~~~~我只是个孩子╭(°A°`)╮~~~~)

    @wefgod  膜拜大牛

  6. 2015-05-25 12:59 | only_admin ( 路人 | Rank:11 漏洞数:5 | ~~~~我只是个孩子╭(°A°`)╮~~~~)

    给用户放些电影

  7. 2015-05-25 13:40 | 明月影 ( 路人 | Rank:12 漏洞数:8 | 学姿势,学思路。)

    乌云还是需要这种打杂的。

  8. 2015-05-25 14:44 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    @only_admin 大事的,乱放的话

  9. 2015-05-25 18:52 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    果然啊,开始研究电视盒了。

  10. 2015-05-25 19:04 | f4ckbaidu ( 普通白帽子 | Rank:182 漏洞数:23 | 开发真是日了狗了)

    打杂+1,跳槽去

  11. 2015-05-25 19:18 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    @疯狗 唉,顺手而已。那里正好有一个。搞的不深,一天而已

  12. 2015-05-25 19:55 | scanf ( 核心白帽子 | Rank:1232 漏洞数:186 | 。)

    @wefgod 妹的 插着网线连不起网

  13. 2015-05-25 23:57 | zeracker 认证白帽子 ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

    厉害...

  14. 2015-05-26 00:41 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    @zeracker 这不是三0妖哥吗?真不厉害,就几个截图而已

  15. 2015-05-26 19:35 | 夏殇 ( 路人 | Rank:30 漏洞数:21 | 不忘初心,方得始终。)

    (⊙0⊙)哇哇,搞机了

  16. 2015-05-27 17:57 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    @夏殇 想多了

  17. 2015-06-05 19:42 | abaddon ( 实习白帽子 | Rank:37 漏洞数:10 | 我叫什么名字)

    精彩,楼主在简介中应该加上,可被三股势力利用威胁国家安全你们哪里广电宽带免费试用吗 好有爱

  18. 2015-06-07 13:58 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    @abaddon 哈,普通漏洞,不精彩,评论比较精彩

  19. 2015-07-14 09:25 | zsmj ( 实习白帽子 | Rank:40 漏洞数:5 | 不问留言,不言寂寞!)

    虽然水平退化严重,但是还是发现一些问题....看完后,我凌乱了

  20. 2015-07-14 09:58 | ( 普通白帽子 | Rank:276 漏洞数:69 | ❤)

    好屌的姿势啊

  21. 2015-07-14 11:27 | xiaokinghk ( 实习白帽子 | Rank:82 漏洞数:16 | 【DBA】)

    @wefgod 来来来 晚上出来吃烧烤

  22. 2015-07-14 15:35 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    @xiaokinghk 啥情况

  23. 2015-07-14 17:45 | scanf ( 核心白帽子 | Rank:1232 漏洞数:186 | 。)

    这段怎么划分的 好坑爹

  24. 2015-07-14 19:48 | xiaokinghk ( 实习白帽子 | Rank:82 漏洞数:16 | 【DBA】)

    @wefgod W哥不是在南宁?

  25. 2015-07-15 14:27 | BeenQuiver ( 普通白帽子 | Rank:101 漏洞数:26 | 专注而高效,坚持好的习惯千万不要放弃)

    很好的渗透思路

  26. 2015-07-29 16:25 | Melody ( 路人 | Rank:5 漏洞数:3 | 啊)

    我会说他们家的网线连接也是这样?